Whitepaper. Malware in 2012: hoe beschermt u uw bedrijf?

Transcriptie

1 Whitepaper Malware in 2012: hoe beschermt u uw bedrijf?

2 Inhoud Samenvatting De hedendaagse bedreigingen, een introductie De aanvallen 1. De aanvallen Cross-site scripting (XSS) en JavaScript exploits Clickjacking en social engineering Aanvallen op certificaatinstanties SEO poisoning Phishing Malvertisements Advanced persistent threats Cookies Hoe beschermt u uw bedrijf tegen bedreigingen

3 Samenvatting Elke keer dat u of een van uw werknemers verbinding maakt met internet, stelt u uw organisatie bloot aan het risico van besmetting met kwaadaardige software: malware. Sommige verbindingsmethoden zijn natuurlijk veiliger dan andere, maar de belangrijkste doelwitten van malware zijn de hulpmiddelen die de meeste werknemers en klanten dagelijks gebruiken: surfen op het web en en. Hackers zoeken onafgebroken naar nieuwe kwetsbaarheden of zwakheden in de websites van bedrijven. Als die worden besmet met malware of de kwetsbaarheden worden uitgebuit, komt de vertrouwelijkheid van klantgegevens in gevaar. En voordat uw bedrijf kans heeft om te reageren, kan uw openbare website op de zwarte lijst van zoekmachines staan en het vertrouwen van uw klanten zijn geschaad. De nasleep kan rampzalig zijn voor uw merk. De manieren waarop u besmet kunt raken met malware worden steeds sluwer en daarmee neemt ook de kans op verlies van online gegevens steeds verder toe. Daarom moet uw bedrijf meer doen dan alleen reageren op beveiligingsproblemen met uw website. In deze whitepaper worden de actuele bedreigingen beschreven en geven we informatie over hoe uw bedrijf online vertrouwen kan realiseren en onderhouden, met behulp van een aanvullende reeks beveiligingsoplossingen. U kunt lezen hoe u uw klanten en reputatie kunt beschermen met SSL-certificaten en regelmatige beveiligingsevaluaties, waarmee potentiële problemen worden gedetecteerd, geïdentificeerd en u vervolgens wordt gewaarschuwd. 3

4 De hedendaagse bedreigingen, een introductie Beveiligingsbedreigingen zijn dynamisch en veranderlijk. In 2011 waren hackers constant bezig met het testen van de verdediging en het zoeken naar nieuwe manieren om organisaties binnen te dringen en gegevens te stelen. Aanvallen worden dan ook vanuit verschillende invalshoeken uitgevoerd, waaronder steeds geavanceerdere vormen van social engineering. Daarbij worden werknemers van een bedrijf overgehaald om, al dan niet bewust, gaten te creëren in de bedrijfsbeveiliging, door bijvoorbeeld malware op het bedrijfsnetwerk te verspreiden. Maar de bekende, gevestigde hackingtools zoals rootkits, cross-site scripting en zero-day-kwetsbaarheden zijn er ook nog steeds. Hackers blijven deze typen aanvallen verfijnen en ontwikkelen om de detectiemiddelen voor te blijven. Hoewel het volume spam afneemt, is volgens de gegevens van Symantec 1 nog steeds minstens 68 procent van alle spam. Bovendien lijken de berichten steeds authentieker, waardoor ze effectiever zijn in het overhalen van de ontvanger om op een kwaadaardige link te klikken. Dergelijke aanvallen zijn op zichzelf al lastig om te voorkomen, maar ze worden vaak ook nog gecombineerd. Zo pasten de aanvallers die in 2010 Google te lijf gingen met Trojan.Hydraq niet slechts één techniek toe, maar gebruikten ze diverse bestanden en verschillende invalshoeken om het netwerk te compromitteren. Met het oog op de steeds geavanceerder wordende malware en het stijgende aantal gevallen van gegevensdiefstal is het cruciaal dat u regelmatig de nieuwste patches en updates voor uw beveiligingsoplossingen installeert. Een IT-manager moet een complete, proactieve real-time aanpak inzetten voor de beveiliging van een website, om zo het online vertrouwen goed te kunnen onderhouden. Maar welke besmettingen zijn het gevaarlijkst voor de online aanwezigheid van een bedrijf? In deze gids vindt u de negen gevaarlijkste en meest voorkomende malwarebesmettingen die uw bedrijf ernstige schade kunnen toebrengen. 1 Symantec Intelligence Report, februari

5 De aanvallen 1. SQL-injecties Achter veel websites bevindt zich een SQL-database. Aanvallen met een zogeheten SQL-injectie worden vaak gebruikt om informatie te kunnen downloaden uit zo n database. Daarmee krijgt een aanvaller de beschikking over bijvoorbeeld creditcardgegevens of kan hij zorgen dat de database (en dus de site) crasht. Bij een dergelijke aanval worden meestal foutieve SQL-statements in velden geplaatst die daar niet voor zijn bedoeld. Recente bekende voorbeelden van aanvallen door middel van een SQL-injectie zijn Lizamoon en LulzSec. In 2010 werden duizenden websites besmet met de Lizamoon-malware, nadat de gebruikers was gevraagd om valse en onbruikbare antivirussoftware te downloaden en installeren. De LulzSec-groep claimde de verantwoordelijkheid voor een SQLinjectieaanval op Sony s PlayStation-netwerk in Er werden niet alleen gegevens en wachtwoorden van beheerders gedownload, maar de aanval zorgde er ook voor dat het netwerk een maand lang onbereikbaar was. Volgens Sony liep hun verlies op tot 14 miljard yen (zo n 125 miljoen euro) Cross-site scripting (XSS) en JavaScript exploits Via cross-site scripting-kwetsbaarheden kunnen aanvallers de beveiligingssystemen van de meeste webbrowsers omzeilen. Besmette sites infiltreren vervolgens de computer van de gebruiker, die op zijn beurt weer andere kwetsbare sites besmet tijdens het surfen op internet. Een browser kan niet weten dat het malwarescript dat afkomstig is van een site die door de gebruiker wordt vertrouwd, eigenlijk onbetrouwbaar is. Scripts kunnen toegang krijgen tot alle gegevens waartoe de browser ook toegang heeft, inclusief wachtwoorden en cookies. Deze scripts kunnen zich in JavaScript, ActiveX, Flash of een ander type uitvoerbaar bestand bevinden, en hebben al vele populaire sites bereikt, waaronder Facebook 3 en Twitter 4. Dergelijke aanvallen zijn gemeengoed 5 ; volgens onderzoek van Symantec vormt cross-site scripting 80 procent van alle beveiligingskwetsbaarheden. Dit is het geval bij websites die invoer van de gebruiker accepteren zonder de gegenereerde output compleet te valideren, en komt vaak voor. 3. Clickjacking en social engineering Clickjacking is een samenvoeging van clicking (klikken) en hi-jacking (kapen) en wordt ook wel UI redressing genoemd. Hackers plaatsen een of meer transparante of verborgen pagina s op een legitieme website. Op die pagina s bevinden zich links en knoppen op dezelfde plek als die op de legitieme pagina. Wanneer de bezoeker op de (schijnbaar) legitieme link of knop klikt, voert hij in feite een actie op een onzichtbare pagina uit. Dit heeft gevolgen die de gebruiker niet wilde en niet kon voorzien. Voorbeelden zijn sociale netwerken zoals Twitter en Facebook, waar zulke verborgen links ertoe hebben geleid dat: gebruikers meer van hun profiel openbaar hebben gemaakt dan de bedoeling was; gebruikers onbedoeld iemand zijn gaan volgen op Twitter 6 ; of links hebben gedeeld op Facebook 7. Wanneer deze techniek bijvoorbeeld wordt gebruikt met de Vind ik leuk -knop op Facebook, ook wel like-jacking genoemd, probeert de malware ervoor te zorgen dat de gebruiker een pagina of product leuk vindt en daarvoor een niet-bestaande beloning of tegoedbon krijgt. Maar in feite willen de hackers alleen dat de gebruikers de pagina bezoeken en krijgen ze mogelijk betaald om daarvoor te zorgen. 4. Aanvallen op certificaatinstanties Certificaatinstanties zijn een belangrijk onderdeel van een Public Key Infrastructure (PKI), waarmee gebruikers veilig kunnen communiceren via internet en die veelvuldig worden gebruikt. Certificaatinstanties zijn aantrekkelijke doelwitten voor hackers, omdat ze met valse certificeringen een website kunnen maken die er betrouwbaar uitziet

6 De taak van de certificaatinstantie is het uitgeven van digitale certificaten die bevestigen dat de houder van een certificaat over een openbare sleutel beschikt. Zo vertrouwt het Secure Sockets Layer (SSL)-mechanisme, dat wordt gebruikt voor het versleutelen van webverkeer, op certificering voor het verifiëren van identiteiten. Deze verificatie gaat er van uit dat de certificaatinstantie wordt vertrouwd door zowel de certificaathouder als degene die het certificaat bekijkt. Als deze vertrouwensrelatie wordt verstoord, is de PKI niet langer effectief 8. In 2011 bleek er te zijn ingebroken bij de Nederlandse certificaatinstantie DigiNotar. In eerste instantie gaven ze 283 onbetrouwbare certificaten uit en later nog een tweede batch van 248 certificaten. Het vertrouwen in de certificaatinstantie was dusdanig geschaad dat alle certificaten werden ingetrokken. Het bedrijf ging daarna failliet 9. Als certificaatinstanties hun beveiligingsinfrastructuur voor certificaten niet zeer plichtsgetrouw bijhouden, stellen ze hun klanten en de consumenten op internet bloot aan risico s. Daarom moeten certificaatinstanties zich blijven ontwikkelen en de tegenstander altijd een stap voor zien te blijven. Niet alleen voor zichzelf, maar ook voor hun klanten. Vanuit strategisch oogpunt betekent dit, dat ze moeten voldoen aan de strengst mogelijke eisen met betrekking tot zowel infrastructuurbeveiliging als best practices voor hun processen, om ervoor te zorgen dat ze de bedreigingen een stap voor blijven. 5. SEO poisoning Hackers proberen gebruikers naar kwaadaardige sites te lokken, om daar hun computers met malware te besmetten. Een van de manieren om dit te bereiken is door middel van Blackhat SEO (Search Engine Optimisation). Webpagina s worden gevuld met keywords en links waardoor ze voor zoekmachines lijken op een legitieme site. Deze vervuiling van de indexen van zoekmachines leidt ertoe dat kwaadaardige sites hoger eindigen in de lijst van zoekresultaten dan legitieme sites. Als een gebruiker de link niet nauwkeurig bekijkt, kan hij terechtkomen op een site die bijvoorbeeld een JavaScript exploit laadt. 6. Phishing Deze vorm van besmetting omvat een breed scala aan activiteiten, maar is in Dit voorbeeld van phishing is een valse van het Better Business Bureau, een bekende essentie een manier om gebruikers over te Amerikaanse bemiddelings- en arbitrageorganisatie 10. halen persoonlijke gegevens met name financiële informatie te verschaffen aan een ogenschijnlijk betrouwbare instantie. Volgens de gegevens van Symantec 10 neemt het aantal gevallen van phishing iedere maand toe. De gevolgen van phishing variëren van de diefstal van persoonsgegevens die leidt tot persoonlijk financieel verlies, tot het geen toegang meer kunnen krijgen tot . Voorbeelden van phishing zijn s die zogenaamd afkomstig zijn van populaire websites, veilingsites en onlinebetalingsverwerkers, de overheid of zelfs de interne IT-beheerders van een bedrijf. Dergelijke s zien er legitiem uit, maar bevatten meestal geen persoonlijke gegevens en zijn bijvoorbeeld geadresseerd aan Geachte klant van <naam bank>. Deze algemene aanhef wordt vaak gevolgd door een waarschuwing dat de beveiliging van uw rekening mogelijk is gecompromitteerd, waarna u wordt aangespoord op een link te klikken en uw wachtwoord of pincode op te geven, om uw identiteit te kunnen verifiëren. De link leidt echter tot een nepsite, die de computer van de gebruiker kan besmetten en zelfs inloggegevens kan stelen Symantec Intelligence Report, februari

7 Wereldwijd aantal gevallen van phishing in februari 2012, volgens Symantec s Intelligence Report. 7. Malvertisements Deze vorm van malware bestaat uit pop-upvensters die er uitzien als advertenties. Vaak wordt de gebruiker gewaarschuwd dat zijn of haar computer mogelijk is besmet en wordt aangeraden op de advertentie te klikken. Als de gebruiker zich voldoende zorgen maakt om op deze zogeheten scareware te klikken, kan de site waar deze vervolgens terechtkomt proberen de computer te besmetten, of de gebruiker te laten betalen voor het verwijderen van niet-bestaande virussen op zijn computer. Deze grafiek, afkomstig uit Symantec s Intelligence Report van februari 2012, toont de stijging van het aantal nieuwe spyware- en adware-websites in vergelijking met het aantal webgebaseerde malware-websites dat elke dag werd geblokkeerd. Een exploit maakte gebruik van malvertisements op Facebook. Wanneer de gebruiker klikte op een kwaadaardige advertentie, kwam deze terecht op een site met malware. De achterliggende technologieën zijn voornamelijk JavaScript en ActiveX, die meestal in de browserinstellingen zijn ingeschakeld zodat geavanceerde interactieve functionaliteit op internet, zoals pop-ups en invoegtoepassingen, goed werkt. Hackers kunnen echter gebruikmaken van kwetsbaarheden in de code en deze instellingen misbruiken voor het installeren en uitvoeren van malware die belangrijke gegevens wist of persoonlijke informatie vastlegt. 7

8 8. Advanced persistent threats (APT s) APT verwijst niet zozeer naar een specifieke technologie of bedreiging, maar naar de daders. Met andere woorden, een Advanced Persistent Threat (geavanceerde constante dreiging) is afkomstig van een groep bestaande uit hackers of zelfs een land, die hun aanvallen richten op bijvoorbeeld een bedrijf of een ander land. Stuxnet is een voorbeeld van een APT. Deze worm was de eerste die specifiek werd ingezet tegen industriële controlesystemen, en dan met name de systemen van Siemens die worden gebruikt bij de uraniumverrijking die plaatsvindt in Iran. 9. Cookies Cookies zijn kleine tekstbestanden die worden gebruikt om de gebruikers van websites te identificeren. Ze zijn bedoeld om hun het leven makkelijker te maken doordat ze zich bijvoorbeeld niet elke keer bij een site hoeven aan te melden. Ook vereenvoudigen ze navigatie op een site door continuïteit te bieden tijdens en tussen bezoeken. Met cookies kan bijvoorbeeld worden vastgesteld dat iemand de site al eerder heeft bezocht, en kunnen instellingen voor taal en andere voorkeuren worden hersteld. Dit gemak heeft echter wel zijn nadelen: doordat cookies als platte tekst worden verzonden via het netwerk, kunnen ze eenvoudig worden onderschept en misbruikt. Omdat ze kunnen worden gebruikt om de gebruiker te identificeren, zijn gebruikers cookies en het delen van persoonlijke gegevens met websites gaan wantrouwen. Veel sites kunnen echter zonder cookies niet worden gebruikt, dus worden ze in het algemeen als noodzakelijk beschouwd. 8

9 Hoe beschermt u uw bedrijf tegen bedreigingen? Om te voorkomen dat u besmet raakt met een van deze vormen van malware, is het cruciaal om te weten welke kwetsbaarheden ze uitbuiten. Maar omdat hackers meerdere methoden gebruiken om de verdediging te doorbreken, is een eenzijdige oplossing voor de beveiliging niet afdoende. In plaats daarvan is een gelaagde aanpak noodzakelijk. Binnen een dergelijke aanpak moeten gebruikers bewust worden gemaakt van de verschillende manieren waarop hackers social engineering gebruiken om gebruikers te laten klikken op kwaadaardige links of te laten reageren op misleidende s. Een belangrijk verdedigingsmiddel is kennis over clickjacking, SEO poisoning, malvertisements en phishing. Met behulp daarvan kunnen gebruikers een gevaarlijke , link of website herkennen als ze ermee te maken krijgen. Er bestaat geen totaaloplossing voor de bescherming van uw openbare website en online informatie. Zelfs de meest ervaren IT er kan door een hacker op het verkeerde been worden gezet. Daarom moet een bedrijf meerdere oplossingen inzetten om malware te bestrijden zowel bescherming in real-time als een proactieve en reactieve verdediging. Onafgebroken, proactieve beveiliging Een veilige, vertrouwde site trekt meer klanten die bovendien hun transacties met vertrouwen voltooien. Uw klanten zullen letten op tekenen van betrouwbaarheid, zoals de naam van uw bedrijf in groen in de adresbalk. Deze groene balk is een duidelijke en breed erkende aanduiding dat een website legitiem is, en geeft aan dat er streng beveiligde Extended Validation (EV) SSL-certificaten worden gebruikt. Met Secure Socket Layer (SSL)-technologie kan gevoelige online informatie, zoals inloggegevens en persoonlijke details, worden versleuteld. Een certificaatinstantie verifieert de unieke informatie over uw bedrijf. EV SSL-certificaten bieden een nog strenger gecontroleerde authenticatiemethode, en zijn daarmee een stevige verdedigingslinie die ervoor zorgt dat klanten uw website met vertrouwen gebruiken. Symantec is een vooraanstaande en vertrouwde certificaatinstantie en biedt EV SSL-certificaten als zeer betrouwbare keuze voor de beveiliging van uw website. Naast krachtige SSL-encryptie biedt u potentiële klanten ook het vertrouwen dat zij veilig zaken kunnen doen via uw site, nog voordat ze erop hebben geklikt. Uw bezoekers zoeken zelfs in zoekresultaten naar garanties en geldigheid, omdat ze zicht zorgen De groene adresbalk is een duidelijke en breed erkende aanduiding dat een website legitiem is, en geeft aan dat er streng beveiligde Extended Validation (EV) SSL-certificaten worden gebruikt. maken over clickjacking en SEO poisoning. Met een duidelijk visueel signaal zoals een zegel van vertrouwen dat wordt getoond bij sommige populaire zoekmachines, op winkelpagina s of een gedeelte van uw site waar bezoekers extra behoefte hebben aan zekerheid, neemt u zorgen over de veiligheid weg. Volgens onderzoek van Symantec stellen klanten vertrouwen in dergelijke zegels. 65% van de consumenten is het erover eens dat een website waarop het Norton Secured-zegel wordt vertoond veilig is en geen virus bevat. Real-time, proactieve beveiliging Een doorsnee website, van het eenvoudigste blog tot een online winkel, kan duizenden potentiële kwetsbaarheden hebben, die verschuiven wanneer de site wordt aangepast. Vanuit het perspectief van de technologie kan een verdediging in realtime snel mogelijke openingen vinden waarmee de functionaliteit of gegevens van een website kunnen worden beschadigd, gedownload of gemanipuleerd. Een automatisch scan van en rapportage over de kwetsbaarheden van een site en de mogelijke bedreigingen kunnen een waardevolle aanvulling zijn op uw bestaande beschermingsmaatregelen. 9

10 Een kwetsbaarheidsbeoordeling moet de meest misbruikte zwakheden van uw website kunnen identificeren en erover rapporteren. Zo moet het systeem kunnen waarschuwen voor de mogelijke ingangen voor cross-site scripting en SQLinjecties. In rapportages over kwetsbaarheden moeten de problemen zijn ingedeeld naar type en risicofactor, en moeten corrigerende acties worden voorgesteld. Op basis daarvan kunt u kritieke beveiligingsproblemen snel vinden en oplossen, waardoor het eenvoudig wordt uw website te beveiligen. Symantec biedt een gratis kwetsbaarheidsbeoordeling bij haar Premium SSL-certificaten. Een andere manier om uw website in real time te beschermen is door middel van malwarescans, die u waarschuwen wanneer uw site besmet wordt. Kwaadaardige code, zoals de code die wordt ingebracht door middel van cross-site scripting, kan zijn verborgen in de broncode van uw website en moeilijk te vinden zonder een complete analyse van alle coderegels. Bovendien kan een besmetting ertoe leiden dat uw site op een zwarte lijst komt te staan of niet langer wordt geïndexeerd door zoekmachines. Volgens onderzoek van Symantec stellen klanten vertrouwen in dergelijke zegels. 65% van de consumenten is het erover eens dat een website waarop het Norton Secured-zegel wordt vertoond veilig is en geen virus bevat. Deze vorm van bescherming moet worden ingezet naast de traditionele antimalwaremiddelen, die vooral zijn gericht op het eindpunt, de desktop. De meeste scanoplossingen zijn bedoeld om te voorkomen dat werknemers malware downloaden en installeren, in plaats van de bedrijfswebsite te beschermen tegen de verspreiding van malware. Symantec s scanservice voor websites, die is inbegrepen bij haar SSL-certificaten, bekijkt uw openbare webpagina s dagelijks, levert een lijst van besmette pagina s en vermeldt de code die het probleem is, zodat u het probleem kunt oplossen op een manier die het beste is voor uw site. Conclusie Met een allround aanpak van de beveiliging van uw website, kan uw bedrijf vertrouwen opbouwen en onderhouden, en tegelijk de hackers weghouden. In 2010 waren de wereldwijde uitgaven aan IT meer dan 3,7 biljoen dollar. Het is dus van het grootste belang om te zorgen dat uw online reputatie op orde blijft 11. Met een aanvullende reeks services zoals SSLencryptie, Seal-in-search, een kwetsbaarheidsbeoordeling en malwarescans kunt u potentiële problemen snel detecteren, identificeren en verhelpen. Daarmee beschermt u uw klanten en uw reputatie. Dankzij de extra garantie en het grotere vertrouwen waar deze services voor zorgen, klikken uw bezoekers met vertrouwen op uw site, stijgt het conversiepercentage en verbeteren uw bedrijfsresultaten. 11 Gartner, Forecast Alert: IT Spending, Worldwide, , update vierde kwartaal

11 Meer informatie Ga naar onze website Wilt u met een productspecialist spreken? Bel of , en druk achtereenvolgens op 2 en 1 in het keuzemenu Over Symantec Symantec is een vooraanstaande wereldwijde leverancier van oplossingen op het gebied van beveiliging, opslag en systeembeheer. Daarmee helpen we consumenten en bedrijven bij het beveiligen en beheren van hun IT-omgeving. Onze software en services beschermen klanten tegen meer risico s op meer punten, op een complete en efficiënte manier. Dat zorgt voor vertrouwen in alle omgevingen waar informatie wordt gebruikt of opgeslagen. Symantec BV Orteliuslaan BB UTRECHT Nederland 2012 Symantec Corporation. Alle rechten voorbehouden. Symantec, het Symantec-logo, het Checkmark-logo, Norton Secured en het Norton Secured-logo zijn handelsmerken of gedeponeerde handelsmerken van Symantec Corporation of haar dochterondernemingen in de Verenigde Staten en andere landen. VeriSign en andere verwante merknamen zijn handelsmerken of gedeponeerde handelsmerken van VeriSign, Inc. of haar dochterondernemingen in de Verenigde Staten en andere landen, en zijn in licentie gegeven aan Symantec Corporation. Andere namen zijn mogelijk handelsmerken van de respectieve eigenaren. 11